Comment des milliers d’extensions Chrome abaissent la sécurité des utilisateurs



Comment des milliers d’extensions Chrome abaissent la sécurité des utilisateurs

Ces modules additionnels suppriment, ni vu ni connu, des entêtes HTTP censés renforcer la sécurité de la navigation Web.

Des chercheurs en sécurité de l’institut CISPA Helmholtz Center ont analysé plus de 186 000 extensions du Chrome Web Store pour voir si elles manipulaient les entêtes de sécurité des connexions HTTP. Ces entêtes permettent à l’éditeur d’un site d’activer certains mécanismes, comme le protocole HSTS (HTTP Strict Transport Security), les règles relatives aux contenus (Content Security Policy), au rendu (X-Frame-Options) ou au type de données (X-Content-Type-Options).

Résultat : parmi toutes les extensions analysées, 2 485 suppriment au moins l’un de ces quatre entêtes. Parmi elles, 553 suppriment les quatre entêtes en même temps. L’entête le moins aimé est CSP, qui est supprimé le plus souvent.

Cette façon de faire n’est pas nécessairement malveillante. D’après les chercheurs, les développeurs de ces extensions suppriment ces entêtes par facilité et confort, pour ajouter certaines fonctionnalités à leur logiciel. Mais c’est évidemment une démarche à courte vue, car elle fait augmenter le risque de piratage pour l’utilisateur final.

Pour plus d'information : https://www.01net.com/actualites/comment-des-milliers-d-extensions-chrome-abaissent-la-securite-des-utilisateurs-2043333.html

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Categories:

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité